Сопровождение домена, сайта, ресурсов на хостинге
Взаимосвязь Хостинг Доменное имя (сайта) Серверы имен (NS) IP Пользователи и разработчики
Домен
domain: ***.RU nserver: ns3.nic.ru. nserver: ns4.nic.ru. nserver: ns8.nic.ru. state: REGISTERED, DELEGATED Серверы имен
domain: ***.RU nserver: ns1.***.ru nserver: ns2.***.ru state: REGISTERED, DELEGATED NSы в том же домене
Основные типы записей SOA (Start Of Authority) A (Address) CNAME (Canonical Name) MX (Mail eXchanger) Файл зоны Многие регистраторы и провайдеры предоставляют веб-интерфейс для редактирования DNS-записи
@INMX MX-записи для Gmail
Вы или регистратор? Вы или веб-студия? Можно в случае необходимости скрыть свои персональные данные из данных whois: person: Private Person Администратор домена
created: paid-till: free-date: Время «Ч»
Следите за уведомлениями от регистратора Можно при необходимости включить уведомления при помощи SMS Поддерживайте актуальность контактной информации Электронная почта. Давно не использующиеся почтовые адреса, заведенные на бесплатных сервисах, имеют обыкновение освобождаться. Не используйте такие адреса в качестве административных контактов Телефоны. Готовы ли вы доверить получение SMS-уведомлений кому-то другому после смены номера телефона? Паспортные данные Проверяйте наличие сведений о ранее выданном документе при смене паспорта! Были случаи перехвата доменов по поддельным документам Уведомления, контакты
Храните пароли в тайне! Заведите два различных пароля в целях разграничения доступа: административный и технический Введите при необходимости ограничение доступа в панель управления по IP-адресу Панель регистратора
Восстановление
В чем смысл? Пользователи находят сайт по имени домена Не требуется ломать сайт сломайте домен! Если домен «сломан»… Пользователи отправляются куда угодно (и там вводят, вводят свои данные) Атаки на домены
«Безбумажные» 1.Взлом, подмена NSов 2.Перехват управления (через регистратора) 3.Взлом регистратора Атаки на домены
«Бумажные» 1.«Угон» домена 2.Захват «опечаток» 3.«Обратный захват» Атаки на домены
«Второго порядка» 1.Перехват домена контактной почты 2.Взлом, «инфицирование», «отравление» элементов DNS (на стороне провайдера, на стороне клиента) Атаки на домены
Получение доступа к панели управления 1.Подбор пароля, перехват трафика 2.Фишерские ссылки в почтовых сообщениях, в социальных сетях, на форумах, … 3.«Подхват» почтовых адресов с запросом на восстановление пароля (массовые попытки) Примеры
Сентябрь 2011 года Произведена смена NSов некоторых доменов, зарегистрированных NetNames: theregister.co.uk telegraph.co.uk vodafone.com acer.com nationalgeographic.com Реальность
Сайт, хостинг
Сопровождение сайта предполагает хранение множества паролей Храните пароли только в зашифрованном виде Не пользуйтесь для хранения паролей стандартными средствами клиентского ПО Вместо FTP старайтесь использовать SSH (SFTP) Настройте доступ к административным веб- интерфейсам по HTTPS Пользуйтесь открытыми сетями очень осторожно Азы безопасности ********
Остерегайтесь троянов Старайтесь не заниматься администрированием сайтов на сомнительных чужих компьютерах Включите все доступные уведомления хостинг- провайдера Наладьте разумный мониторинг cron, wget, … Своевременно обновляйте версии CMS и связанных модулей Азы безопасности
Хостинг это не только скрипты и CMS, но также и хранение данных 1.Пользовательские (персональные!) данные контактная информация, заказы, платежи, личные сообщения, … 2.Коммерческая информация поставки, склады, партнеры, статистика, … 3.Электронная почта В дополнение к азам
Бэкапы С одной стороны: там есть вся ваша информация! С другой стороны: не мешает время от времени делать бэкапы самостоятельно Соседи по серверу Могут «заглянуть» к вам на площадку (если хостинг плохой) В дополнение к азам
Файлы управления доступом Обычно называются.htaccess Ошибки Алиасы Настройка сервера
Индексная страница Замыкающая косая черта Кодировка utf-8 Настройка сервера
Постоянные соединения Connection: keep-alive Сжатие mod_gzip mod_deflate Кэширование Файлы; SQL-запросы; содержимое, генерируемое при помощи CMS Настройка сервера
Обеспечивают защиту от: подмены сайта (любым способом) «прослушивания» трафика изменения данных в передаваемых сообщениях SSL/TLS
Разновидности сертификатов для сайтов 1.С проверкой домена 2.С дополнительной проверкой юридического лица 3.Для одного домена, для «всех» поддоменов *.google.com 4.Для адреса электронной почты, персональные 5.Для программ, сервисов … SSL/TLS
Тезисы из практики 1.Рекомендуется отдельный IP-адрес для каждого веб-сервера (но существует и поддерживается SNI Server Name Indication) 2.Необходимо для административного веб- интерфейса CMS 3.Проблема: пользователи привыкли игнорировать предупреждения (можно припомнить фиктивные сертификаты google.com) SSL/TLS
Вопросы?